JS跨域_JAVA_程序员俱乐部

您所在的位置：程序员俱乐部 > 编程开发 > JAVA > JS跨域

JS跨域

2011/12/28 17:55:40 qqchinaok http://qqchinaok.iteye.com 我要评论(0)

摘要：原帖地址:http://itgeeker.com/mathml/readpaper?pid=53JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为“Same-OriginPolicy”（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制，即JavaScript只能访问与包含它的文档在同一域下的内容。JavaScript这个安全策略在进行多iframe或多窗口编程
标签：JS

原帖地址:http://itgeeker.com/mathml/readpaper?pid=53

JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为“Same-
Origin
Policy”（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制，即JavaScript只能访问与包含它的文档
在同一域下的内容。

JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax编程时显得尤为重要。根据这个策略，在baidu.com下的页
面中包含的JavaScript代码，不能访问在google.com域名下的页面内容；甚至不同的子域名之间的页面也不能通过JavaScript代码
互相访问。对于Ajax的影响在于，通过XMLHttpRequest实现的Ajax请求，不能向不同的域提交请求，例如，在
abc.example.com下的页面，不能向def.example.com提交Ajax请求，等等。

然而，当进行一些比较深入的前端编程的时候，不可避免地需要进行跨域操作，这时候“同源策略”就显得过于苛刻。本文就这个问题，概括了跨域所需要的一些技术。

下面我们分两种情况讨论跨域技术：首先讨论不同子域的跨域技术，然后讨论完全不同域的跨域技术。

（一）不同子域的跨域技术。

我们分两个问题来分别讨论：第一个问题是如何跨不同子域进行JavaScript调用；第二个问题是如何向不同子域提交Ajax请求。

先来解决第一个问题，假设example.com域下有两个不同子域：abc.example.com和def.example.com。现在假设在def.example.com下面有一个页面，里面定义了一个JavaScript函数：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
function
?funcInDef()?{??

</li>
<li>
??
</li>
<li>
.....??
</li>
<li>
??
</li>
<li>
}??
</li>
</ol>

?

我们想在abc.example.com下的某个页面里调用上面的函数。再假设我们要讨论的abc.example.com下面的这个页面是以iframe形式嵌入在def.example.com下面那个页面里的，这样我们可能试图在iframe里做如下调用：

window.top.funcInDef();

好，我们注意到，这个调用是被前面讲到的“同源策略”所禁止的，JavaScript引擎会直接抛出一个异常。

为了实现上述调用，我们可以通过修改两个页面的domain属性的方法做到。例如，我们可以将上面在abc.example.com和def.example.com下的两个页面的顶端都加上如下的JavaScript代码片段：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Html代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-xml">
<li>
<
script
?
type
=
"text/javascript"
>
??

</li>
<li>
??
</li>
<li>
document.domain
?=?
"example.com"
;??

</li>
<li>
??
</li>
<li>
</
script
>
??

</li>
</ol>

?

这样，两个页面就变为同域了，前面的调用也可以正常执行了。

这里需要注意的一点是，一个页面的document.domain属性只能设置成一个更顶级的域名（除了一级域名），但不能设置成比当前域名更深层
的子域名。例如，abc.example.com的页面只能将它的domain设置成example.com，不能设置成
sub.abc.example.com，当然也不能设置成一级域名com。

上面的例子讨论的是两个页面属于iframe嵌套关系的情况，当两个页面是打开与被打开的关系时，原理也完全一样。

下面我们来解决第二个问题：如何向不同子域提交Ajax请求。

通常情况下，我们会用与下面类似的代码来创建一个XMLHttpRequest对象：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
factories?=?[??

</li>
<li>
??
</li>
<li>
function
()?{?
return
?
new
?XMLHttpRequest();?},??

</li>
<li>
??
</li>
<li>
function
()?{?
return
?
new
?ActiveXObject(
"Msxml2.XMLHTTP"
);?},??

</li>
<li>
??
</li>
<li>
function
()?{?
return
?
new
?ActiveXObject(
"Microsoft.XMLHTTP"
);?}??

</li>
<li>
??
</li>
<li>
];??
</li>
<li>
??
</li>
<li>
function
?newRequest()?{??

</li>
<li>
??
</li>
<li>
for
(
var
?i?=?0;?i?<?factories.length;?i++)?{??

</li>
<li>
??
</li>
<li>
try
{??

</li>
<li>
??
</li>
<li>
var
?factory?=?factories[i];??

</li>
<li>
??
</li>
<li>
return
?factory();??

</li>
<li>
??
</li>
<li>
}?catch
(e)?{}??

</li>
<li>
??
</li>
<li>
}??
</li>
<li>
??
</li>
<li>
return
?
null
;??

</li>
<li>
??
</li>
<li>
}??
</li>
</ol>

?

上面的代码中引用ActiveXObject，是为了兼容IE6系列浏览器。每次我们调用newRequest函数，就获得了一个刚刚创建的
Ajax对象，然后用这个Ajax对象来发送HTTP请求。例如，下面的代码向abc.example.com发送了一个GET请求：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
var
?request?=?newRequest();??

</li>
<li>
??
</li>
<li>
request.open("GET"
,?
"http://abc.example.com"
?);??

</li>
<li>
??
</li>
<li>
request.send(null
);??

</li>
</ol>

?

假设上面的代码包含在一个abc.example.com域名下的页面里，则这个GET请求可以正常发送成功，没有任何问题。然而，如果现在要向def.example.com发送请求，则出现跨域问题，JavaScript引擎抛出异常。

解决的办法是，在def.example.com域下放置一个跨域文件，假设叫crossdomain.html；然后将前面的
newRequest函数的定义移到这个跨域文件中；最后像之前修改document.domain值的做法一样，在crossdomain.html文
件和abc.example.com域下调用Ajax的页面顶端，都加上：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Html代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-xml">
<li>
<
script
?
type
=
"text/javascript"
>
??

</li>
<li>
??
</li>
<li>
document.domain
?=?
"example.com"
;??

</li>
<li>
??
</li>
<li>
</
script
>
??

</li>
</ol>

?

为了使用跨域文件，我们在abc.example.com域下调用Ajax的页面中嵌入一个隐藏的指向跨域文件的iframe，例如：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Html代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-xml">
<li>
<
iframe
?
name
=
"xd_iframe"
?
style
=
"display:none"
?
src
=
"http://def.example.com/crossdomain.html"
>
??

</li>
<li>
</
iframe
>
??

</li>
</ol>

?

这时abc.example.com域下的页面和跨域文件crossdomain.html都在同一个域（example.com）下，我们可以在abc.example.com域下的页面中去调用crossdomain.html中的newRequest函数：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
var
?request?=?window.frames[
"xd_iframe"
].newRequest();??

</li>
</ol>

?

这样获得的request对象，就可以向http://def.example.com发送HTTP请求了。

（二）完全不同域的跨域技术。

如果顶级域名都不相同，例如example1.com和example2.com之间想通过JavaScript在前端通信，则所需要的技术更复杂些。

在讲解不同域的跨域技术之前，我们首先明确一点，下面要讲的技术也同样适用于前面跨不同子域的情况，因为跨不同子域只是跨域问题的一个特例。当然，在恰当的情况下使用恰当的技术，能够保证更优的效率和更高的稳定性。

简言之，根据不同的跨域需求，跨域技术可以归为下面几类：

JSONP跨域GET请求
通过iframe实现跨域
flash跨域HTTP请求
window.postMessage

下面详细介绍各种技术。

1. JSONP。

利用在页面中创建<script>节点的方法向不同域提交HTTP请求的方法称为JSONP，这项技术可以解决跨域提交Ajax请求的问题。JSONP的工作原理如下所述：

假设在http://example1.com/index.php这个页面中向http://example2.com/getinfo.php
提交GET请求，我们可以将下面的JavaScript代码放在http://example1.com/index.php这个页面中来实现：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
var
?eleScript=?document.createElement(
"script"
);??

</li>
<li>
??
</li>
<li>
eleScript.type?=?"text/javascript"
;??

</li>
<li>
??
</li>
<li>
eleScript.src?=?"http://example2.com/getinfo.php"
;??

</li>
<li>
??
</li>
<li>
document.getElementsByTagName("HEAD"
)[0].appendChild(eleScript);??

</li>
</ol>

?

当GET请求从http://example2.com/getinfo.php返回时，可以返回一段JavaScript代码，这段代码会自动执行，可以用来负责调用http://example1.com/index.php页面中的一个callback函数。

JSONP的优点是：它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制；它的兼容性更好，在更加古老的浏览器中都
可以运行，不需要XMLHttpRequest或ActiveX的支持；并且在请求完毕后可以通过调用callback的方式回传结果。

JSONP的缺点则是：它只支持GET请求而不支持POST等其它类型的HTTP请求；它只支持跨域HTTP请求这种情况，不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

2. 通过iframe实现跨域。

iframe跨域的方式，功能强于JSONP，它不仅能用来跨域完成HTTP请求，还能在前端跨域实现JavaScript调用。因此，完全不同域的跨域问题，通常采用iframe的方式来解决。

与JSONP技术通过创建<script>节点向不同的域提交GET请求的工作方式类似，我们也可以通过在
http://example1.com/index.php页面中创建指向http://example2.com/getinfo.php的
iframe节点跨域提交GET请求。然而，请求返回的结果无法回调http://example1.com/index.php页面中的
callback函数，因为受到“同源策略”的影响。

为了解决这个问题，我们需要在example1.com下放置一个跨域文件，比如路径是http://example1.com/crossdomain.html。

当http://example2.com/getinfo.php这个请求返回结果的时候，它大体上有两个选择。

第一个选择是，它可以在iframe中做一个302跳转，跳转到跨域文件http://example1.com
/crossdomain.html，同时将返回结果经过URL编码之后作为参数缀在跨域文件URL后面，例如http://example1.com
/crossdomain.html?result=<URL-Encoding-Content>。

另一个选择是，它可以在返回的页面中再嵌入一个iframe，指向跨域文件，同时也是将返回结果经过URL编码之后作为参数缀在跨域文件URL后面。

在跨域文件中，包含一段JavaScript代码，这段代码完成的功能，是从URL中提取结果参数，经过一定处理后调用原来的
http://example1.com/index.php页面中的一个预先约定好的callback函数，同时将结果参数传给这个函数。http:
//example1.com/index.php页面和跨域文件是在同一个域下的，因此这个函数调用可以通过。跨域文件所在iframe和原来的
http://example1.com/index.php页面的关系，在前述第一种选择下，后者是前者的父窗口，在第二种选择下，后者是前者的父窗口
的父窗口。

根据前面的叙述，有了跨域文件之后，我们就可以实现通过iframe方式在不同域之间进行JavaScript调用。这个调用过程可以完全跟
HTTP请求无关，例如有些站点可以支持动态地调整在页面中嵌入的第三方iframe的高度，这其实是通过在第三方iframe里面检测自己页面的高度变
化，然后通过跨域方式的函数调用将这个变化告知父窗口来完成的。

既然利用iframe可以实现跨域JavaScript调用，那么跨域提交POST请求等其它类型的HTTP请求就不是难事。例如我们可以跨域调用
目标域的JavaScript代码在目标域下提交Ajax请求（GET/POST/etc.），然后将返回的结果再跨域传原来的域。

使用iframe跨域，优点是功能强大，支持各种浏览器，几乎可以完成任何跨域想做的事情；缺点是实现复杂，要处理很多浏览器兼容问题，并且传输的数据不宜过大，过大了可能会超过浏览器对URL长度的限制，要考虑对数据进行分段传输等。

3. 利用flash实现跨域HTTP请求

据称，flash在浏览器中的普及率高达90%以上。

flash代码和JavaScript代码之间可以互相调用，并且flash的“安全沙箱”机制与JavaScript的安全机制并不尽相同，因此，我们可以利用flash来实现跨域提交HTTP请求（支持GET/POST等）。

例如，我们用浏览器访问http://example1.com/index.php这个页面，在这个页面中引用了http:
//example2.com/flash.swf这个flash文件，然后在flash代码中向http://example3.com
/webservice.php发送HTTP请求。

这个请求能否被成功发送，取决于在example3.com的根路径下是否放置了一个crossdomain.xml以及这个
crossdomain.xml的配置如何。flash的“安全沙箱”会保证：仅当example3.com服务器在根路径下确实放置了
crossdomain.xml文件并且在这个文件中配置了允许接受来自example2.com的flash的请求时，这个请求才能真正成功。下面是一
个crossdomain.xml文件内容的例子：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Xml代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-xml">
<li>
<?
xml
?
version
=
"1.0"
?>
??

</li>
<li>
??
</li>
<li>
<
cross-domain-policy
>
??

</li>
<li>
??
</li>
<li>
<
allow-access-from
?
domain
=
"example2.com"
?
/>
??

</li>
<li>
??
</li>
<li>
</
cross-domain-policy
>
??

</li>
</ol>

?

4. window.postMessage

window.postMessage是HTML标准的下一个版本 HTML5
支持的一个新特性。受当前互联网技术突飞猛进的影响，浏览器跨域通信的需求越来越强烈，HTML标准终于把跨域通信考虑进去了。但目前HTML5仍然只是一个draft。

window.postMessage是一个安全的实现直接跨域通信的方法。但是目前并不是所有浏览器都能支持，只有Firefox 3、Safari 4和IE8可以支持这个调用。

使用它向其它窗口发送消息的调用方式大概如下:

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
otherWindow.postMessage(message,?targetOrigin);??

</li>
</ol>

?

在接收的窗口，需要设置一个事件处理函数来接收发过来的消息：

<div class="dp-highlighter">
<div class="bar">
<div class="tools">Js代码 ?<a title="收藏这段代码"><img class="star" src="/Upload/Images/2011122817/40B102E0EF997EA6.png" alt="收藏代码"></a>

<ol class="dp-c">
<li>
window.addEventListener(
"message"
,?receiveMessage,?
false
);??

</li>
<li>
function
?receiveMessage(event){??

</li>
<li>
?if
?(event.origin!==?
"http://example.org:8080"
)?
return
;}??

</li>
</ol>

?

消息包含三个属性：data、origin（携带发送窗口所在域的真实信息）和source（代表发送窗口的handle）。

安全性考虑：使用window.postMessage，必需要使用消息的origin和source属性来验证发送者的身份，否则会造成XSS漏洞。

window.postMessage在功能上同iframe实现的跨域功能同样强大，并且使用简单，效率更高，但缺点是它目前在浏览器兼容方面有待提高。

?

总结完所有的跨域方式之后，我们要时刻铭记，虽然跨域技术能给你带来更多的功能，催生出更灵活和更加平台化的产品，但是功能的放开也总是意味着安全的风险。在实现跨域技术的每个步骤和细节，都要时刻在头脑中考虑到对安全带来的影响，避免成为XSS攻击的漏洞。

上一篇： JAVA实现二十四点下一篇： crc16位算法 java 与 c# 版本